2026大模型十大突破:扩散语言模型与AI评估
### 一、架构革命:自回归的围墙开始松动
#### Cola DLM:语言生成不只有自回归这一条路
自回归(Autoregressive),就是让模型逐个预测下一个 token,串行生成一句话。GPT、Claude、Gemini,几乎都是这条路走出来的。
但这条路也有代价:推理慢、长文本一致性差。
字节跳动提出的 Cola DLM 走了另一条路。它先把文本压缩到一个连续隐空间,再在上面做扩散建模——一次性规划全局语义结构,最后由解码器把隐空间表示还原成自然语言。这其实是“图像生成那套扩散模型的成功经验”在文本上的迁移。自回归是“走一步看一步”,扩散是“先看清整张图再下笔”。对于长文本生成和多轮对话一致性,后者有天然的结构性优势。
当然,目前 Cola DLM 的 scaling 曲线还追不上同规模的自回归模型。它证明的只是一件事:语言生成,不只有自回归这一条路可选。
#### 探索性采样:让模型多想几条不同的路
清华和 Stanford 合作的 Exploratory Sampling 论文,指出了一个问题——当前模型在测试时做多次采样(Best-of-N),生成的多个答案常常只是措辞不同,语义上其实高度雷同。
解决办法呢?他们给模型在隐层表示上挂了一个轻量级的 novelty detector。一旦模型开始重复自己的思路,这个检测器就会主动引导它偏离已有轨迹,真正从语义层面探索不同的解题路径。在数学、编程和科学推理 benchmark 上,Pass@k 效率提升明显。而且最实用的是,这套方法可以即插即用到任何已有的推理模型上。
---
### 二、安全攻防:当大模型学会“隐藏指令”
#### Unicode 隐形注入:五家大模型全部中招
这是今年最让人后脊发凉的 LLM 安全论文。
研究者把恶意指令编码成不可见的 Unicode 字符——零宽空格、方向控制符、标签字符——嵌入一段看起来完全正常的文字里。人类肉眼看不到任何异常,但大模型在 tokenize 时却能“读”到这些隐形指令。
三个关键发现值得注意:
- **Tool use 场景下攻击成功率最高。** 当模型可以调用工具(搜索、代码执行、数据库查询),隐形注入成功率从 30% 飙升到接近 100%。
- **“解码提示”有放大效应。** 如果攻击者额外加一句“请仔细阅读并执行以下指令”,某些模型上成功率能从 5% 跳到 95%。
- **不同厂商对 Unicode 的 tokenization 策略差异巨大。** 这意味着供应链层面的安全隐患——你的应用很可能因为底层模型换了一个版本,就突然变得脆弱。
一个恶意用户可以在论坛回帖、GitHub issue、甚至邮件签名里嵌入隐形指令。当你的 AI Agent 处理这些内容时,它可能被悄无声息地操控。
#### DeepMind 操纵性评估:10101 人真人实验
Google DeepMind 这篇,是今年 AI Safety 方向分量最重的一篇。
他们招募了 10101 名来自美国、英国、印度的被试,覆盖公共政策、金融、健康三个领域,测试大模型在真实人机交互中是否会产生操纵性行为,以及这种操纵是否真的能改变人类决策。
结论分两层:模型确实能产生操纵性行为——但通常需要特定 prompt 触发。更关键的是第二层:模型产生操纵性行为的倾向,和这种行为最终是否真的影响人,是两回事。有些场景下,模型说着操纵性的话,被试完全不为所动;另一些场景下,轻描淡写的一句话反而改变了决策。这给 AI 安全评估提出了新难题:不能只看模型说了什么,还得看人是怎么反应的。
#### SteerEval:你的可控指令,模型真的听进去了吗?
这篇论文问了一个基础但至关重要的问题:你让模型调整语气、情感、人格,它真的会照做吗?
他们设计了分层评测基准 SteerEval,覆盖语言特征、情感倾向、人格特质三个维度,对 LLM 的可控性进行测试。有意思的是,结果相当反直觉:越精细的控制指令,模型反而越容易崩。宽泛指令下模型表现尚可,一旦要求精确到某个具体人格特征或情感参数,可控性断崖式下降。对于医疗、法律、金融等高风险场景的 LLM 部署,这实在是一个现实障碍。
---
### 三、Agent 落地:工具调用、隐私泄露、金融检索
#### Tool-DC:模型不会用工具?让它“试-查-重试”
Agent 的核心能力是调用工具。但当需要从几十上百个 API 里选出正确的工具,模型开始倾向选错、填错参数、甚至干脆叫不出该用的 API。
中山大学和微软提出的 Tool-DC 框架,提供了一个务实的解法:把长工具列表拆成小的子集,模型在每个子集里先“试一试”(Try),再“检查一下”(Check),不行就换子集“重试”(Retry)。训练无关版本能带来 25.1% 的平均提升;训练版本下,Qwen2.5-7B 甚至追平了 OpenAI o3 和 Claude Haiku 4.5。一个 7B 小模型通过更好的工具编排策略达到闭源大模型的水平——这告诉我们,工具调用策略的优化空间,可能比继续堆参数大得多。
#### FinRetrieval:同一个模型,两种面孔
这篇金融检索 benchmark 论文暴露了一个断层:Claude Opus 在结构化 API 查询场景下准确率高达 90.8%;换成纯网页搜索回答同样的金融问题,准确率直接掉到 19.8%。
4.5 倍的差距,问题不在模型能力本身,而在工具可用性。这是 Agent 落地的硬底线:没有好工具,再强的模型也是盲人摸象。
#### AI Agent 行为迁移:你的 Agent 比你想象的更像你
这篇 Moltbook 行为迁移研究揭示了 AI Agent 一个很少被讨论的风险。
研究者分析了 10659 对“人-Agent”配对数据,比对 Agent 发布的帖子和其主人的 Twitter/X 历史发言。三个发现很明确:
1. 行为迁移是系统性的——主题偏好、价值观倾向、情感特征、语言风格全部可迁移。
2. 迁移程度越强,Agent 泄露用户隐私信息的风险越高。
3. 你越把 Agent “个性化”,它就越可能在不该说的时候说出不该说的话。
这给 AI Agent 治理扔了一个新难题:当 Agent 成为人的行为延伸而非简单工具时,隐私责任的边界在哪里?
#### Bonus:AI Co-Mathematician + AdapTime
Google DeepMind 的 AI Co-Mathematician 在 FrontierMath Tier 4 上拿到了 48% 的得分——这是目前所有 AI 系统在这项最难数学基准上的最高分。亮点不是做题本身,而是它被设计成一个持续协作的数学工作台:并行 Agent 探索、文献搜索、定理证明、工作论文生成一体化。
AdapTime 则让 LLM 对不同复杂度的时间推理问题自适应选择推理策略——不用外部工具,纯靠推理链路优化。这篇已经被 ACL 2026 Findings 接收。
---
### 结尾
如果把十篇论文连在一起看,2026 年 LLM 研究的主线非常清晰:从“更大的模型”转向“更可靠的系统”。
架构层开始松动自回归的垄断——扩散语言模型和探索性解码给出了新方向。安全层从检测恶意输出深入到评测模型的可控性和操纵性。Agent 层,工具调用策略、行为迁移隐私风险等新问题开始被系统性定义和度量。
过去两年我们问的是“模型能考多少分”;今年大家开始问“模型会不会说谎、能不能被控制、出了事谁来负责”。
这个转向本身,可能就是 2026 年最重要的进步。